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L'invention concerne le domaine des dispositifs a codes et des 
procedes de traitement de codes. Plus precisement, l'invention concerne le 
domaine des systemes avec code d'acces confidentiel, notamment, les 
dispositifs et procedes permettant de securiser I'acces a certaines 
5 operations telles que des transactions, en particulier monetiques. 

De nombreuses fonctions de securite utilisent un code confidentiel. 
Ce code, numerique, typiquement de 2 a 12 chiffres, associe a un profil 
d'identification de titulaire autorise a detenir ce code, permet au titulaire 
d'utiliser certaines fonctions protegees, et seule la connaissance du code 
10 permet le deverrouillage des fonctions. 

La generalisation de ce moyen d'authentification, notamment 
combinant code et carte a microprocesseur, entratne le developpement 
d'attaques lors desquelles le titulaire du code, sous la menace, est contraint 
de reveler son code. 

15 Dans Tart anterieur, si le code entre dans le dispositif de securite est 

errone, le dispositif (par exemple un guichet automatique de banque) en 
informe en clair la personne qui a saisi le code, generalement par affichage 
sur un ecran. Ainsi, la personne qui a entre le code sait que le code entre 
est errone et qu'il doit essayer un autre numero que celui qu'il a compose 

20 precedemment. En general, le nombre d'essais autorises est limite (trois est 
le plus frequent), afin d'assurer une protection contre les tentatives 
systematiques. 

Dans le cas d'une agression, I'agresseur est de cette fagon, informe 
que le code qu'il a obtenu de sa victime est faux, ce qui peut I'inciter a 
25 devenir plus menacant et plus dangereux. 

Le but de l'invention est de foumir un dispositif et un procede pour 
diminuer les risques encourus par le titulaire d'un code, victime de telles 
attaques, tout en conservant la protection des fonctions a proteger. 

Ce but est atteint grace a un proced§ de traitement de codes 
30 confidentiels dans un systeme a fonctions s§curisees comprenant les 
etapes consistant a : 
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- recevoir un code ; 

- verifier une premiere habitation, conditionnee par un premier code, 
pour acceder £ une premiere fonction ; et 

- autoriser 1'acces k la premiere fonction si la premiere habilitation est 
5 reconnue, 

caracterise en ce qu'il comprend en outre, si la premiere habilitation n'est 
pas reconnue, Tetape consistant £ : 

- utiliser le code afin de verifier une deuxfeme habilitation, 
conditionnee par un deuxieme code distinct du premier code, pour 

10 declencher au moins une deuxidme fonction en ne revelant pas le fait que le 
code ne permet pas d'obtenir la premiere habilitation. 

De cette fa^on, la victime peut reveler a Pagresseur un deuxieme 
code ; grace au procede selon I'invention, ce deuxieme code est distingue 
d'un premier code, habilit6 pour acceder a une premiere fonction ; il rfy a 
15 alors pas acces a la premiere fonction qui reste protegee ; mais ce 
deuxieme code peut etre habilite pour declencher une deuxieme fonction 
qui peut servir de leurre, destine a detourner I'agresseur du projet d'acceder 
a la premiere fonction. L'agresseur detourne de son projet ne cherchera pas 
a menacer davantage sa victime pour qui les risques encourus se trouvent 
20 par consequent reduits. 

Avantageusement, la premiere fonction du procede selon I'invention 
est une transaction bancaire. 

Avantageusement, les etapes du procede selon Tinvention, 
consistant a verifier les premiere et deuxieme habitations, font intervenir 
25 une carte a microprocesseur. 

Avantageusement encore, Tetape de verification de la deuxieme 
habilitation du procede selon I'invention comprend les operations consistant 

a: 

- obtenir un nouveau code, par une deuxifeme transformation inverse 
30 d'une premiere transformation simple permettant au titulaire du premier 

code d'obtenir le deuxieme code a partir du premier code ; et 



- executer a nouveau I'etape de verification de la premiere 
habilitation pour tester le nouveau code. 

Avantageusement, ladite premiere transformation simple du procede 
selon I'invention est realisee par un decalage elementaire d'un caractere du 

5 premier code. 

Avantageusement, le procede selon I'invention, comprend en outre 
une etape d'invalidation, si I'etape consistant a verifier la premiere 
habilitation a ete testee plus d'un nombre determine de fois sans succes. 

Avantageusement, la deuxieme fonction, du procede selon 
10 I'invention, consiste a afficher un message choisi aleatoirement parmi 
plusieurs messages indiquant que I'acces a la premiere fonction n'est pas 
possible, sans toutefois specifier que le code n'est pas celui permettant 
d'obtenir la premiere habilitation. 

Avantageusement, la deuxieme transformation simple du procede 
15 selon I'invention est fonction de parametres accessibles sur la carte a 
microprocesseur. 

Selon un autre aspect, I'invention est un disposifrf de contrdle 
d'acces a des fonctions securisees, a code confidentiel, pour la mise en 
ceuvre du procede defini ci-dessus. 
20 Avantageusement, ce dispositif comprend : 

- des moyens pour recevoir un code ; 

- des moyens pour verifier avec ce code une premiere habilitation, 
conditionnee par un premier code, pour acceder a une premiere fonction ; et 

- des moyens pour autoriser I'acces a la premiere fonction si 
25 I'habilitation est reconnue ; 

il est caracterise en ce qu'il comprend en outre 

- des moyens pour utiliser, si I'acces a la premiere fonction est 
refuse, le code pour verifier une deuxieme habilitation conditionnee par un 
deuxieme code, distinct du premier code, a declencher au moins une 

30 deuxieme fonction en ne revelant pas le fait que le code ne permet pas 
d'obtenir la premiere habilitation. 



Avantageusement, le dispositif selon Pinvention est un terminal pour 
carte bancaire. 

Avantageusement, le dispositif selon Pinvention est utilis6 pour 
securiser une transaction bancaire. 
5 Avantageusement, les etapes consistant a verifier les premieres et 

deuxidmes habilitations font intervenir un profil d'utilisateur enregistre 
num6riquement. 

Avantageusement, les moyens du dispositif selon Pinvention, pour 
verifier les premiere et deuxieme habilitations, font intervenir une carte a 
10 microprocesseur. 

Avantageusement, les moyens du dispositif selon Pinvention, pour 
verifier la deuxieme habilitation permettent les operations consistant a : 

- obtenir un nouveau code, par une deuxieme transformation inverse 
d'une premiere transformation simple permettant au titulaire du premier 

15 code d'obtenir le deuxteme code a partir du premier code ; et 

- executer S nouveau Petape de verification de la premiere 
habilitation pour tester le nouveau code. 

Avantageusement, ladite transformation simple du dispositif selon 
Pinvention, est realisee par un decalage elementaire d'un caractere du 
20 premier code. 

Avantageusement, le dispositif selon Pinvention comprend en outre 
des moyens d'invalidation mis en ceuvre si la premiere habilitation a ete 
testee plus d'un nombre determine de fois sans succes. 

Avantageusement, la deuxieme fonction du dispositif selon Pinvention 
25 est realisee par des moyens qui affichent un message choisi aleatoirement 
parmi plusieurs messages indiquant que Pacces a la premiere fonction n'est 
pas possible, sans toutefois specifier que le code n'est pas celui permettant 
d'obtenir la premiere habilitation. 

Avantageusement, la deuxieme transformation simple dij dispositif 
30 selon Pinvention est fonction de parametres accessibles sur la carte a 
microprocesseur. 



On comprendra mieux I'invention a I'aide de la description detaillee 
qui suit et des dessins joints sur lesquels : 

- la figure 1 est un diagramme representant schematiquement les 
principales unites composant un dispositif particulier pour la mise en oeuvre 
de I'invention ; et 

- la figure 2 est un synopsis de I'ensemble des etapes d'un exemple 
de mise en oeuvre du precede selon I'invention. 

Dans un mode privilegie, mais non limitatif, de realisation du 
dispositif selon I'invention, celui-ci est un distributeur automatique de billets. 
Comme represents sur la figure 1, il comprend de facon classique en soi 
une unite centrale 1 qui traite et echange des informations avec un lecteur 2 
de cartes bancaires 10, et un clavier 3 (ou tout autre dispositif interactif de 
saisie), pour commander un mecanisme distributeur 4 de billets, le lecteur 
2 de cartes bancaires 10 et produire des messages affiches sur un ecran 5. 
Le traitement des informations et la commande des mecanismes 
composant le dispositif selon I'invention par I'unite centrale 1, s'appuie sur 
des echanges avec une unite de memoire 6. 

Une carte 10 est munie d'un microprocesseur. Ce microprocesseur 
correspond a un profil de titulaire autorise a detenir un premier code. 

Le titulaire detient aussi un deuxieme code qui sera utilise comme 
code de secours de la maniere qui sera exposee plus loin. 

L'utilisateur detient done deux codes. Le premier code est son code 
confidentiel usuel, habilite pour acceder a une premiere fonction, en 
I'occurrence, pour I'exemple decrit ici, une transaction monetique du type 
distribution automatique de billets. 

Le deuxieme code est un code de secours. II peut etre revele par un 
utilisateur menace par un agresseur a la place de son code confidentiel. 

Ce deuxieme code est facilement memorisable et est obtenu par une 
premiere transformation arithmetique simple a partir du premier. 

Preferentiellement, le deuxieme code ne differe du premier code que 
par un chiffre, lequel chiffre est avantageusement modifie seulement de 



plus 1 ou moins 1 par rapport au chiffre de meme rang dans les premier et 
deuxieme codes. 

Pr6ferentiellement, aussi, le dispositif selon I'invention est mis en 
oeuvre suivant le proc6d6 suivant, decrit en reference en la figure 2. 

Lorsqu'un utilisateur souhaite obtenir une premiere fonction 1 80, en 
I'occurrence la distribution de billets de la part du dispositif selon I'invention, 
il introduit sa carte 10 dans le lecteur 2 et compose un code sur le clavier 3. 

L'unite centrale 1 commence alors au debut 100 une procedure de 
test, avec des etapes se succedant comme indique ci-dessous. 

Suit une etape de lecture du profil de I'utilisateur et de reinitialisation 
1 05 du decompte du nombre de fois ou le code est compost. 

Un indicateur 110 temoignant du fait que le code n'a pas encore ete 
transforme est genere. 

Vient alors I'etape de saisie 1 15 du code. 

Le code est teste, par un test de code 120 pour verifier une premiere 
habilitation. 

Si le test 120 donne un resultat negatif, c'est que le code fourni au 
dispositif selon I'invention ne correspond pas au premier code detenu par 
I'utilisateur, c'est a dire son code confidentiel. Un premier test d'indicateur 
1 30 est alors effectue. Si Pindicateur temoigne du fait que le code n'a pas 
encore ete transforme, l'unite centrale 1 engage un test de deuxieme 
habilitation et precede a une derivation 140 d'une deuxieme transformation, 
inverse d'une premiere transformation simple permettant au titulaire d'un 
premier code d'obtenir un deuxieme code (son code de secours) a partir du 
premier code. 

Un indicateur 145 temoignant du fait que la derivation 140 a ete 
effectu6e, est gener6. 

Ce code obtenu par la derivation 140 est utilise pour reproduce 
I'etape de verification de la premiere habilitation, au niveau du test de code 
120. Si apres la derivation 140, le code obtenu ne correspond toujours pas 
au premier code (code confidentiel usuel), c'est que le code introduit au 



debut 100 n'etait pas le deuxieme code (code de secours). II peut s'agir, par 
exemple, d'une erreur de frappe de la part de I'utilisateur. La procedure se 
poursuit en recommencant le premier test d'indicateur 130. Mais cette fois- 
cl, le test d'indicateur 130 detecte qu'une deuxieme habilitation a deja ete 
5 testee (T=1). La procedure se poursuit done par un traitement de code 
errone 150 semblable a ceux connus de I'homme du metier. Plus 
particulierement, un test du nombre de fois ou le code a ete compose 190 
est effectue. Si ce nombre est egal a 3, par exemple, une etape 
d'invalidation 200 est effectuee pour mettre fin 210 a la procedure. Si ce 
10 nombre est inferieur a 3, il est demande a I'utilisateur s'il souhaite un 
abandon 220 de la procedure. Si e'est le cas, la procedure prend fin 210, 
sinon le code doit etre ressaisi apres que I'indicateur 1 10 ait ete reinitialise. 

Si le test de code 120 donne un resultat positif, un deuxieme test 160 
de I'indicateur est effectue. Si I'indicateur temoigne du fait que le code n'a 
15 pas ete transforme, I'utilisateur a acces a la fonction protegee 180 (par 
exemple la distribution de billets). Si I'indicateur temoigne du fait que le 
code a deja ete transforme, e'est que le code ayant passe avec succes le 
test de premiere habilitation, avait prealablement subi la derivation 140. Le 
code entre au debut 100 de la procedure etait done le code de secours. La 
20 procedure se poursuit alors par une deuxieme fonction 170, en I'occurrence, 
une transaction de secours 170, qui peut etre une fonction leurre. 

La deuxieme fonction 170 correspond pour I'exemple decrit ici a une 
transaction de secours qui peut recouvrir plusieurs solutions. 

Une solution peut consister a afficher sur I'ecran 3, un message 
25 choisi aleatoirement parmi plusieurs messages indiquant que I'acces a la 
premiere fonction 180 n'est pas possible, sans toutefois specifier que le 
code fourni au dispositif selon I'invention n'est pas celui permettant d'obtenir 
la premiere habilitation. 

Par exemple, le message sera du type transaction momentanement 
30 indisponible » ou «credit insuffisant » ou encore n'importe quel autre des 
messages courants utilises pour indiquer un incident de fonctionnement 
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cTun guichet automatique bancaire ou un dysfonctionnement du compte du 
titulaire. 

Selon une autre solution, la procedure normale de distribution de billets 
sera initiee, par exemple en demandant quelle somme est desir6e, puis si 
5 Putilisateur souhaite un re$u, mais une panne sera simulee et la somme 
demandee ne sera pas delivree. 

Selon une autre solution, il sera delivre une somme, mais limitee, par 
exemple, £ celle minimale pouvant etre distribu6e. 

Par ailleurs, la deuxfeme transformation 140 simple permet de retrouver 
10 le premier code (code confidential usuel) a partir du deuxfeme code (code 
de secours). Avantageusement, cette deuxieme transformation 140 simple 
est variable, en fonction par exemple de parametres accessibles sur la carte 
a microprocesseur. Par exemple, pour un certain organisme bancaire, la 
deuxieme transformation 140 peut consister a incrementer de 1 le chiffre du 
15 deuxieme rang du code, alors que pour un autre organisme, la 
transformation consistera a retrancher une unite au chiffre du dernier rang. 
La deuxieme transformation 140, et notamment le sens de variation sur un 
chiffre, peut aussi dependre de la nature paire ou impaire du nombre 
constituant le «code de banque », le «code de guichet », etc. 
20 De nombreuses autres possibilites peuvent etre envisagees. 

Un autre avantage de Pinvention dans sa forme decrite ci-dessus est 
qu'il n'est necessaire de tester qu'un seul code au niveau du 
microprocesseur de la carte 10. Les cartes 10 utilisees actuellement sont 
done compatibles avec cette forme de realisation de Pinvention et it n'est 
25 aucunement necessaire de changer les cartes 10 deja en circulation. 

On comprendra tout de meme qu'il est possible d'utiliser des cartes 10 
permettant de tester le premier code et le deuxieme code, independamment 
Tun de Pautre, et sans effectuer la deuxieme transformation 140, sans 
s'ecarter de Pesprit de Tinvention. ^ 
30 On comprendra aussi qu'il a ete utilise pour la description detaillee ci- 
dessus Pexemple des dispositifs de type distributeur de billets, mais que 



I'invention s'applique egalement aux terminaux de paiement par carte 

bancaire ainsi qu'a tout type de systeme a fonction securisee 180, comme 

certains dispositifs informatiques, certains sites militaires, industriels, etc.. 
Au lieu de tester le code compost en combinaison avec une carte 10 a 
5 microprocesseur, pour acceder aux systemes a fonction securisee 180, on 

peut envisager de le tester en combinaison avec un nom d'utilisateur, ou 

n'importe quel autre element de profil d'utilisateur. 

La deuxieme fonction 170 decrite ci-dessus est une fonction de leurre 

simulant un dysfonctionnement du systeme a proteger. II pourrait etre 
10 envisage dans d'autres cas, comme deuxieme fonction 170, le 

declenchement d'un signal d'alerte, remission de gaz de defense, etc. 
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REVENDICATIONS 
1. Procede de traitement de codes confidentiels dans un systeme a 
fonctions securisees (180) comprenant les 6tapes consistant a : 

- recevoir un code ; 

5 - verifier une premiere habitation, conditionnee par un premier code, 

pour acceder a une premiere fonction (180) ; et 

- autoriser I'accfes a la premiere fonction (180) si la premiere 
habitation est reconnue, 

caracterise en ce qu'il comprend en outre, si la premiere habilitation n'est 
1 0 pas reconnue, I'etape consistant a : 

- utiliser le code afin de verifier une deuxidme habilitation, 
conditionnee par un deuxieme code distinct du premier code, pour 
declencher au moins une deuxieme fonction (170) en ne revelant pas le fait 
que le code ne permet pas d'obtenir la premiere habilitation. 

15 2. Procede selon la revendication 1, caracteris6 par le fait que la 

premiere fonction (180) est une transaction bancaire. 

3. Procede selon Tune quelconque des revendications precedentes, 
caracterise par le fait que les etapes consistant a verifier les premiere et 
deuxieme habilitations font intervenir un profil d'utilisateur enregistre 

20 numeriquement. 

4. Procede selon Tune quelconque des revendications precedentes, 
caracterise par le fait que les etapes consistant a verifier les premiere et 
deuxieme habilitations, font intervenir une carte (10) a microprocesseur. 

5. Proced6 selon Tune quelconque des revendications precedentes, 
25 caracterise par le fait que I'etape de verification de la deuxieme habilitation 

comprend les operations consistant a : 

- obtenir un nouveau code, par une deuxieme transformation (140) 
inverse d'une premiere transformation simple permettant au titulaire du 
premier code d'obtenir le deuxieme code a partir du premier code ; et 

30 - executer a nouveau l'§tape de verification de la premiere 

habilitation pour tester le nouveau code. 
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6. Procede selon la revendication 5, caracterise par le fait que ladite 
premiere transformation simple est realisee par un decalage elementaire 
d'un caractere du premier code. 

7. Procede selon Tune quelconque des revendications precedentes, 
5 caracterise en ce qu'il comprend en outre une etape d'invalidation (200) si 

I'etape consistant a verifier la premiere habilitation a ete testee plus d'un 
nombre determine de fois sans succes. 

8. Procede selon Tune des revendications precedentes caracterise 
par le fait que la deuxieme fonction (170) consiste a afficher un message 

10 choisi aJeatoirement parmi plusieurs messages indiquant que I'acces a la 
premiere fonction (180) n'est pas possible, sans toutefois specifier que le 
code n'est pas celui permettant d'obtenif la premiere habilitation. 

9. Procede selon Tune quelconque des revendications 5 a 8 
caracterise par le fait que la deuxieme transformation (140) simple est 

1 5 fonction de parametres accessibles sur la carte (10) a microprbcesseur. 

10. Djspositif de contrSle d'acces a des fpnctions securisees (180), a 
code pour la mise en ceuvre du procede selon Tune des revendications 
precedentes, comprenant : 

- des moyens pour recevoir un code ; 

20 - des moyens pour verifier avec ce code une premiere habilitation, 

conditionnee par un premier code, pour acceder a une premiere fonction 
(180) ; et 

- des moyens pour autoriser I'acces a la premiere fonction (180) si 
I'habilitation est reconnue, 

25 caracterise en ce qu'il comprend en outre : 

- des moyens pour utiliser, si I'acces a la premiere fonction (180) est 
refuse, le code pour verifier une deuxieme habilitation conditionnee par un 
deuxieme code distinct du premier code pour declencher au moins une 
deuxieme fonction (170) en ne revelant pas le fait que le code ne permet 

30 pas d'obtenir la premiere habilitation. 

11. Dispositif selon la revendication 10 caracterise en ce qu'il est un 



12 



terminal pour carte bancaire. 

12. Dispositif selon Tune quelconque des revendications 10 et 11, 
caracterise par le fait qu'il est utilise pour securiser une transaction 
bancaire. 

5 13. Dispositif selon Tune quelconque des revendications 10 a 12, 

caract6ris6 par le fait que les moyens pour verifier les premiere et deuxfeme 
habitations, font intervenir une carte (10) a microprocesseur. 

14. Dispositif selon Tune quelconque des revendications 10 a 13, 
caracterise par le fait que les moyens pour verifier la deuxfeme habitation 

1 0 permettent les operations consistant a : 

- obtenir un nouveau code, par une deuxieme transformation (140) 
inverse d'une premiere transformation simple permettant au titulaire du 
premier code d'obtenir le deuxieme code a partir du premier code ; et 

- executer £ nouveau Petape de verification de la premiere 
1 5 habilitation pour tester le nouveau code. 

15. Dispositif selon la revendication 14, caracterise par le fait que 
ladite premiere transformation simple est realisee par un decalage 
elementaire d'un caractere du premier code. 

16. Dispositif selon Tune quelconque des revendications 10 a 15, 
20 caracterise en ce qu'il comprend en outre des moyens d'invalidation mis en 

ceuvre si la premiere habilitation a ete testee plus d'un nombre determine de 
fois sans succes. 

17. Dispositif selon Tune quelconque des revendications 10 a 16, 
caracterise par le fait que la deuxieme fonction (170) est realisee par des 

25 moyens qui affichent un message choisi aleatoirement parmi plusieurs 
messages indiquant que Pacces a la premiere fonction (180) n'est pas 
possible, sans toutefois specifier que le code n'est pas celui permettant 
d'obtenir la premiere habilitation. 

18. Dispositif selon Tune quelconque des revendications^ 4 a 17, 
30 caracterise par le fait que la deuxfeme transformation (140) simple est 

fonction de parametres accessibles su rja ca rte (10) a microprocesseur. 
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